En este informe la AEPD da respuesta a la legitimación de los tratamientos de datos de salud en relación con el COVID-19. https://www.aepd.es/es/documento/2020-0017.pdf
El RGPD en su considerando (46) recoge que, en situaciones excepcionales, como una pandemia, la base jurídica de tratamientos puede ser múltiple. Partiendo de la exigencia del reglamento, para el tratamiento de los datos de salud, no basta una base jurídica, sino que además ha de existir una circunstancia que levante la prohibición del tratamiento, siendo éstas las siguientes:
1º Entre el empleador y empleado cumplimiento de obligaciones y derechos en el ámbito del Derecho laboral y de la seguridad y protección social, según lo dispuesto en la normativa de prevención de Riesgos Laborales. No solamente debe velar por la prevención el empleador, sino también el trabajador. En el ámbito de la situación actual del COVID-19 supone que el trabajador debe informar a su empleador si sospecha de contacto con el virus, con el objetivo de salvaguardar su salud y la de los demás trabajadores del centro de trabajo.
2º El tratamiento es necesario por razones de un interés público esencial y un interés público en el ámbito de la salud pública como protección frente a amenazas transfronterizas.
3ºEs necesario para realizar un diagnóstico medico o asistencia de tipo sanitario y gestión de los sistemas de asistencia sanitaria y social.
IMPORTANTE
Para el tratamiento de los datos se aplicarán los principios del RGPD, en especial, los principios de minimización de datos y finalidad.